Talvez poucas pessoas estejam familiarizadas com o termo, mas a esteganografia é a grande resposta para a pergunta feita nesta publicação. O termo confirma que é realmente possível esconder ameaças digitais em imagens, mas também em vídeos, áudios, PDFs e qualquer outro tipo de arquivo executável.

Agora, veremos como é possível esconder malware em fotos e quais são os principais sinais de que a imagem pode ter sido alterada.

A esteganografia é a chave

A esteganografia é muitas vezes confundida com a criptografia, pois ambas as técnicas podem proteger a confidencialidade das informações. Na criptografia, as informações são visíveis, mas inteligíveis, ou seja, sabe-se que elas estão lá, mas somente se você tiver a chave para decodificá-las é que elas poderão ser acessadas.

A esteganografia, por outro lado, é projetada para que não seja possível saber que há informações escondidas. Para isso, há várias técnicas usadas a fim de esconder as informações, embora a grande maioria se baseie na substituição do bit menos significativo da mensagem original por outro bit que contém a mensagem mascarada. Desta forma, as informações armazenadas de forma camuflada nos arquivos terão um tamanho limitado pela capacidade do arquivo visível, conseguindo assim passar completamente despercebidas.

Durante muito tempo, acreditou-se que os arquivos que poderiam conter malware eram apenas arquivos executáveis, como .exe, .com, .bat. Mas foi demonstrado como os documentos comuns também podiam conter malware graças à inclusão de macros. E não demorou muito para que os criadores de malware explorassem os arquivos de imagem.

Como você esconde malware em uma foto?

Houve vários casos em que as imagens foram usadas, de uma forma ou de outra, para a distribuição de ameaças digitais. Por exemplo, uma foto adorável de um gatinho pode ser usada como um método para esconder outros arquivos de malware ou para o download de aplicativos maliciosos no Android. Mas como isso acontece?

Ao usar a esteganografia em uma imagem, é provável que ela seja alterada, dando a impressão de que foi modificada. Essa técnica permite que a ameaça seja escondida nos bits menos significativos de uma imagem. Ou seja, substituir as informações de determinados pixels, tornando as alterações praticamente imperceptíveis, especialmente ao usar o formato PNG em vez de JPG, devido às diversas possibilidades de codificação que ele oferece.

É importante esclarecer que estamos falando de arquivos multimídia normais, que têm alguns pixels ou metadados alterados e manipulados com muito cuidado, mas não conseguem infectar se forem abertos.

Um exemplo é esta campanha logo abaixo de alguns anos atrás que usou uma imagem de Kobe Bryant para lançar um script de mineração de criptomoedas.

Uma imagem pode executar uma ameaça digital?

Como é que não estamos todos infectados por malware no contexto atual de compartilhamento de fotos no WhatsApp, Facebook ou Instagram? É tão fácil quanto parece?

A realidade é que não é fácil, mas também não é impossível. A verdade é que, se um arquivo de imagem for alterado com malware, é muito provável que ele seja corrompido. Ou, em outras palavras, ele não estará em conformidade com as regras do formato e não será exibido corretamente. Essa é a primeira bandeira vermelha à qual você deve prestar atenção e ter cuidado.

Nas redes sociais, por exemplo, é ainda mais complicado compartilhar uma foto com malware porque, ao ser carregada, ela muda de tamanho, é recompactada, a ponto de poder ser cortada ou alguma cor da imagem ser corrigida.

Isso levanta uma nova questão: uma imagem pode executar uma ameaça em um sistema que promove downloads e infecta um sistema? Embora seja (muito) improvável que isso aconteça, seria necessário encontrar uma vulnerabilidade no software de visualização de imagens que fosse muito específica e que, de alguma forma, executasse os comandos que um cibercriminoso deseja ao ler o comando malicioso incorporado à imagem.

Como isso é feito? Transformando a imagem em um contêiner de código Javascript para que, quando ela for carregada por um navegador com o elemento Canvas do HTML 5, esse código seja executado. Esse conceito de imagem mais código Javascript é chamado pelo pesquisador de IMAJS (IMAge+JavaScript).

Assim, o cibercriminoso poderá executar códigos maliciosos e até mesmo assumir o controle de um computador remotamente se a vítima visitar um site com uma imagem preparada usando essa técnica.

Conclusão

Com as redes sociais como o principal epicentro do compartilhamento de imagens, é muito provável que os cibercriminosos continuem escondendo malware em uma imagem graças à facilidade da esteganografia.

E, embora a infecção não seja tão fácil quanto com outros vetores, é importante prestar atenção a certos detalhes, como pequenas diferenças na cor da imagem, cores duplicadas ou se a imagem for muito maior que a original. Obviamente, uma solução de segurança sempre será essencial para detectar esse e outros tipos de ataques.